چالش‌های اِعمال اراده از سوی کاربر در توافقنامه‌های حفظ حریم خصوصی

خانه » مقالات » چالش‌های اِعمال اراده از سوی کاربر در توافقنامه‌های حفظ حریم خصوصی

حریم خصوصی

سید امین پیشنماز

دانشجوی دکتری حقوق خصوصی دانشگاه شهید بهشتی

یکشنبه, ۲ خرداد ۱۴۰۲

زمان تقریبی مطالعه ۱۹ دقیقه

مقررات حفاظت از داده که در سال‌‌های اخیر گسترش چشم‌‌گیری داشته است، تبعیت از مجموعه‌‌ای از قواعد الزام‌‌آور را در خصوص داده‌‌های شخصی کاربران ضروری ساخته است.

یکی از مقررات حفاظت از داده، ضرورت اطلاع‌‌رسانی و کسب رضایت اشخاصِ موضوع داده نسبت به فرایند جمع‌‌آوری، پردازش و اشتراک‌‌گذاری داده‌‌ها است. در این راستا سکوهای[۱] فعال در این حوزه، از یک‌سو به سبب الزامات قانونی و از سوی دیگر به‌منظور کسب اعتماد کاربران و به‌موازات آن امکان استفاده از خدمات اشخاص ثالث در بسترهای خود، سیاست‌‌های حریم خصوصی را در قالب اعلامیه یا اسناد حقوقی، در اختیار کاربران قرار می‌‌دهند. بنا بر یک اصل اولیه در مقررات حفاظت از داده، مبنای اصلی هرگونه استفاده و اشتراک‌‌گذاری داده‌‌های شخصی، کسب رضایت اشخاصِ موضوع داده است. حال سؤالی اصلی این یادداشت آن است که کسب رضایت اشخاص در قالب موافقت‌‌نامۀ حریم خصوصی تا چه میزان واجد اعتبار حقوقی و قابل استناد است؟

ضرورت کسب رضایت کاربران

بند یک مادۀ ۶ از مقررات عمومی حفاظت از دادۀ اتحادیۀ اروپا[۲]، قاعدۀ اولیۀ لزوم موافقت شخص موضوع داده نسبت به پردازش داده‌‌های شخصی را وضع نموده است. بااین‌حال، این مقرره شکل و قالب مشخصی برای اعلام رضایت پیش‌‌بینی نمی‌‌کند. سایت‌‌ها عمدتاً به‌محض ورود نسبت به دسترسی و ذخیرۀ کوکی‌‌ها[۳] کسب اجازه می‌‌کنند، در برخی موارد کاربر می‌‌تواند به‌طورکلی اجازۀ استفاده از کوکی را بدهد یا به‌طورکلی این امکان را منع کند و یا کوکی‌‌ها را مدیریت کند. گاه نیز سایت با اعلامیه‌‌ای به کاربر هشدار می‌‌‌‌دهد که استفاده از این سایت به‌منزلۀ پذیرش حق استفادۀ میزبان از کوکی‌ها است، بدون آنکه کاربر امکان رد آن را داشته باشد. در نرم‌افزارهای کاربردی، معمولاً نصب و راه‌اندازی منوط به پذیرش مقررات ازجمله سیاست‌‌های حریم خصوصی است؛ در این صورت مادام که کاربر رضایت خود را اعلام نکند، امکان بهره‌برداری وجود نخواهد داشت. دسته‌‌ای از سکو‌‌ها هم به‌طور خودکار اقدام به ذخیرۀ کوکی‌‌ها و جمع‌آوری داده‌‌های شخصی می‌‌کنند، با این پیش‌‌بینی که رضایت کاربران مفروض است؛ اما کاربر قادر خواهد بود که ردیابی داده‌‌های شخصی را مسدود کند یا انصراف خود را اعلام کند. بااین‌حال در مادۀ ۷ مقرره‌ای که گفته شد، پیش‌بینی شده که درخواست اعلام رضایت کتبی، می‌‌بایست به نحوی قابل‌تشخیص، با زبانی روشن و ساده و به شکلی قابل‌فهم و در دسترس باشد. در مقررات داخلی نیز مادۀ ۵۸ قانون تجارت الکترونیکی مصوب ۱۳۸۲، ذخیره، پردازش و یا توزیع برخی از انواع داده‌‌پیام‌‌های شخصی را منوط به کسب رضایت صریح اشخاصِ موضوع داده کرده است. در همین راستا مادۀ ۱۱ آیین‌‌نامۀ حمایت از سکوها و کسب‌‌وکارهای اقتصاد دیجیتال، هرگونه دسترسی و استفاده از اطلاعات کاربران بدون مجوز قانونی یا صاحبان پیام (داده‌‌پیام) را ممنوع کرده است.

اعتبار رضایت ابرازشده

صرف‌نظر از قالب و شکل اعلام رضایت، اخذ رضایت کاربر از دیدگاه حقوقی، عقدی است که محصول توافق دو نفع متقابل است. از این حیث شرایط اساسی صحت قرارداد[۴] باید در چنین توافقی که ایجاب آن با کنترل‌‌گر (سکوی ارائه‌‌دهندۀ خدمات) و قبول آن با کاربر است، رعایت شده باشد. حاکمیت اراده، زیربنای اساسی تمامی توافقات قراردادی است، ازاین‌رو در توافق بین کاربر و کنترل‌‌گر هم ارادۀ معتبر کاربر، مشتمل بر قصد و رضای او باید وجود داشته باشد، وگرنه اساساً نمی‌‌توان مدعی وجود توافق و کسب رضایت شد.

برای ایجاد ارادۀ الزام‌‌آور، ضروری است که قصد ایجاد اثر حقوقی به همراه رضایت به آثار آن، محقق شود؛ بنابراین شرط اولیه برای اعمال اراده، وجود علم و آگاهی (تصور) نسبت به مفاد توافقی است که قرار است مقصود کاربر واقع شود.[۵] در اصطلاح گفته می‌‌شود ارادۀ اشخاص می‌‌بایست آگاهانه و آزادانه شکل بگیرد؛ آگاهانه از حیث نبود اشتباه یا جهل نسبت به مفاد یک توافق و آزادانه از حیث فقدان هرگونه اجبار و اکراه در ابزار و اعلام اراده.

به نظر می‌‌رسد عموم کاربران و ارائه‌دهندگان ایرانی هنوز به‌طور مؤثر و کافی از اهمیت داده‌‌های شخصی و حقوق مرتبط با آن اطلاعی ندارند؛ بنابراین از منظر حقوق قراردادها اعلام رضایت کاربران در بیشتر موارد فاقد اعتبار حقوقی است.

مطالعات اخیر نشان داده است که آگاهی کافی نسبت به جزئیات توافق‌‌نامۀ حریم خصوصی وجود ندارد. قراردادهای حریم خصوصی، مفاد کوتاهی ندارند، بلکه حاوی مواد مختلفی راجع‌به داده‌‌های شخصی جمع‌آوری‌شده، اهداف جمع‌آوری، پردازش و افشای داده‌‌ها می‌‌شود. ازاین‌رو گفته شده، مطالعۀ هر قرارداد حریم خصوصی به‌طور میانگین به ۱۰ دقیقه زمان نیاز دارد. از طرف دیگر، قراردادهای حریم خصوصی متحدالشکل نیستند، بلکه ساختار و مفاد متنوعی دارند.

تحقیقات نشان داده است که به‌طور میانگین هر شخص آمریکایی در طول ماه، از ۱۱۹ سایت متفاوت بازدید می‌کند و باید موضع خود را نسبت به قرارداد حریم خصوصیِ هریک از این سایت‌ها اعلام کند. بنابراین ادعا شده که مطالعۀ توافق‌‌نامۀ حریم خصوصی در هر شبانه‌روز ۴۰ دقیقه و در طول سال حدود ۲۴۴ ساعت، معادل ۱۰شبانه‌روز، زمان به خود اختصاص می‌‌دهد.[۶] برای همین است که تحقیقات نشان داده که در عمل ۳۶درصد از کاربران آمریکایی که با درخواست اعلام موافقت نسبت به سیاست حریم خصوصی مواجه شده‌‌اند، گفته‌اند که بدون مطالعۀ آن، موافقت خود را اعلام می‌‌کنند و ۳۸درصد از کل کاربران، گاهی سیاست‌نامۀ مذکور را مطالعه می‌‌کنند. افزون بر این، قراردادهای حریم خصوصی حاوی شروط و مندرجاتی است، که فهم دقیق و موشکافانۀ آن برای بسیاری از کاربران فضای مجازی که با حقوق حریم خصوصی و به‌طور خاص با حریم خصوصی داده آشنایی ندارند، دشوار است. تحقیقات نشان داده است که ۳۲درصد از جامعۀ آماری کاربران یادشده در ایالات متحدۀ آمریکا اعلام کرده‌‌اند که فهم مفاد قرارداد مذکور برای آن‌‌ها دشوار یا غیرممکن است و تنها ۱۳درصد از کاربران به‌طور قابل‌توجهی مفاد این موافقت‌نامه‌ها را درک کرده‌‌اند.[۷]

از منظر حقوق ایران، این موضوع حساسیت بیشتری پیدا می‌‌کند. از یک سو خلأ مقررات جامعی که در آن ارائه‌‌دهندگانِ سکوها را ملزم به کسب رضایت و انعقاد توافقنامۀ استاندارد با شروط تحمیلی به نفع کاربران کند احساس می‌‌شود و از سوی دیگر به نظر می‌‌رسد عموم کاربران و ارائه‌دهندگان ایرانی هنوز به‌طور مؤثر و کافی از اهمیت داده‌‌های شخصی و حقوق مرتبط با آن اطلاعی ندارند؛ بنابراین از منظر حقوق قراردادها اعلام رضایت کاربران در بیشتر موارد فاقد اعتبار حقوقی است.

مادۀ ۱۹۴ قانون مدنی در این خصوص چنین نوشته است: «الفاظ و اشارات و اعمال دیگر که متعاملین به‌‌وسیلۀ آن انشاء معامله می‌نمایند باید موافق باشد به‌‌نحوی‌‌که احد طرفین همان عقدی را ‌قبول کند که طرف دیگر قصد انشاء او را داشته است و الا معامله باطل خواهد بود» ازاین‌جهت چون کاربر به علت نخواندن یا عدم درک صحیح، از مفاد قرارداد بی‌‌اطلاع است، نمی‌توان گفت همان چیزی را قبول کرده است که طرف مقابل ایجاب نموده. ازاین‌رو صرف‌نظر از مواردی که کنترل‌‌گران بدون رضایت کاربر، اقدام به جمع‌‌آوری داده می‌‌کنند، اعمال ارادۀ طیف وسیعی از کاربران نیز بدون آگاهی محقق شده و معتبر نیست؛ مضاف بر اینکه در مقام تعارض ارادۀ باطنی و ظاهری، یعنی فرضی که کاربر برای آنکه بتواند از سایت بازدید کند یا در آن ثبت‌نام کند، باید رضایت خود را اعلام کرده باشد ولی در باطن نسبت به مفاد توافق‌‌نامه بی‌اطلاع بوده و درنتیجه قصد پذیرش مندرجات را ندارد، ارادۀ باطنی مقدّم خواهد بود.[۸]

به نظر می‌‌رسد، قالب فعلی توافق‌‌نامه‌‌های حریم خصوصی، اهداف مندرج در مقررات حفاظت از داده را مبنی بر لزوم اخذ رضایت کاربرانِ موضوعِ داده، فراهم نمی‌‌آورد؛ ازاین‌رو، علاوه‌بر افزایش دانش و آگاهی اشخاص نسبت به حقوق داده و مدیریت آن، لازم است قالب‌‌های متحدالشکل و نسبتاً آشنایی مانند قالب‌ قراردادهای حقوق اموال پیش‌بینی شود که در آن، هر شخص متعارفی می‌‌تواند ارزش موضوع توافق و تعهدات و تکالیف ناشی از قرارداد را به‌خوبی درک کند. بدین منظور، توافق‌‌نامه‌‌های حریم خصوصی باید به‌‌صورت متحدالشکل و با رعایت استانداردها و شروط تحمیلی از سوی نهاد تنظیم‌‌گر با زبانی ساده، به‌نحوی‌که برای حداکثر اقشار جامعه قابل‌فهم باشد تدوین شود و تا حد امکان از تنوع در محتوا و ساختار و تفصیل جزئیات غیرکاربردی در این دست موافقت‌‌نامه‌‌ها خودداری شود. تفسیر این نوع قراردادها نیز همواره می‌‌بایست به نفع طرف ضعیف‌‌تر قرارداد (کاربران) صورت بگیرد و با لحاظ مادۀ ۴۶ قانون تجارت الکترونیکی مصوب ۱۳۸۲، شروط غیرمنصفانه‌ای که به ضرر مصرف‌‌کننده است می‌‌بایست کأن لم یکن تلقی گردد.

پانوشت

۱- Platform

۲- General Data Protection Regulation (GDPR)

۳- کوکی‌‌ها (Cookie) بسته‌‌هایی از اطلاعات است که بنا به درخواست یک تارنما، از مرورگر رایانه یا تلفن بر روی یک رایانه یا تلفن همراه ذخیره می‌‌شود تا از طریق کوکی‌‌ها بخشی از اطلاعات بازدیده‌‌کننده را ثبت و ذخیره نمایند.

۴- در حقوق ایران مادۀ ۱۹۰ قانون مدنی متعرض این شرایط شده است: «برای صحت هر معامله شرایط ذیل اساسی است:
۱) قصد طرفین و رضای آن‌ها ۲) اهلیت طرفین ۳) موضوع معیّن که مورد معامله باشد ۴) مشروعیت جهت معامله.»

۵- در خصوص مراحل شکل‌‌گیری اراده از تصور تا اندیشه، رضا و درنهایت قصد، رجوع شود به شهیدی، مهدی، حقوق مدنی، جلد اول، تشکیل قراردادها و تعهدات، چاپ نهم، انتشارات مجد، ۱۳۹۲، ص۱۲۹.

۶- McDonald & Lorrie Faith Cranor, “The Cost of Reading Privacy Policies”, Journal of Law and Policy for the Information Society, 2008, 2, 17.

۷- “Privacy Policies are Legally Required” last modified May 17, 2022. https://www.privacypolicies.com/blog/privacy-policies-legally-required/

۸- رجوع شود به مادۀ ۱۹۶ قانون مدنی؛ با این توضیح که بخش دوم این ماده، اثبات ارادۀ باطنی را سبب تقدّم آن بر ارادۀ ظاهری عنوان نموده است.

نویسندگان

سید امین پیشنماز

دانشجوی دکتری حقوق خصوصی دانشگاه شهید بهشتی